Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Chapitre 1. Authentification

Directory Server prend en charge les caches DN normalisés configurables

Cette mise à jour offre de meilleures performances pour les plugins tels que memberOf et pour les opérations mettant à jour des entrées contenant de nombreux attributs de syntaxe DN. Le nouveau cache DN normalisé configurable implémenté permet une gestion DN par le serveur plus efficace.

SSSD affiche des avertissements d'expiration de mot de passe lorsqu'une authentification sans mot de passe est utilisée.

Auparavant, SSSD pouvait uniquement vérifier la validité d'un mot de passe pendant la phase d'authentification. Cependant, lorsqu'une méthode d'authentification sans mot de passe est utilisée, pendant une connexion SSH par exemple, SSSD n'était pas appelé dans la phase d'authentification et n'effectuait donc pas de vérification de la validité du mot de passe. Cette mise à jour déplace la vérification de la phase d'authentification à la phase du compte utilisateur. Par conséquent, SSSD peut créer un avertissement d'expiration de mot de passe même lorsqu'aucun mot de passe n'est utilisé pendant l'authentification. Pour obtenir davantage d'informations, veuillez consulter le Guide de déploiement : https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/index.html

SSSD prend en charge les connexions avec le nom principal de l'utilisateur

En plus des noms d'utilisateurs, l'attribut UPN (nom principal de l'utilisateur) peut désormais être utilisé par SSSD pour identifier les utilisateurs et les identifiants d'utilisateurs, une fonctionnalité disponible aux utilisateurs d'Active Directory. Avec cette amélioration, il est possible de se connecter en tant qu'utilisateur AD, soit avec le nom d'utilisateur et le domaine, soit avec l'attribut UPN.

SSSD prend en charge la réactualisation en arrière-plan des entrées du cache

SSSD autorise la mise à jour d'entrées du cache en arrière-plan. Avant cette mise à jour, lorsque la validité des entrées du cache expirait, SSSD les cherchait à partir du serveur distant et les stockait dans la nouvelle base de données, ce qui pouvait prendre un certain temps. Avec cette mise à jour, les entrées sont retournées instantanément car le serveur principal les conserve à jour à tout moment. Remarquez que ce procédé entraîne une charge plus importante sur le serveur car SSSD télécharge les entrées de manière périodique au lieu de le faire sur requête.

La commande Sudo prend désormais en charge les journaux d'E/S compressés zlib

La commande sudo offre désormais la prise en charge zlib, qui permet à sudo de générer et de traiter des journaux d'E/S compressés.

Nouveau paquet : openscap-scanner

Un nouveau paquet, openscap-scanner, est désormais fourni pour permettre aux administrateurs d'installer et d'utiliser le scanner OpenSCAP (oscap) sans avoir à installer toutes les dépendances du paquet openscap-utils package, qui contenaient auparavant le scanner. La mise en paquet séparé du scanner OpenSCAP réduit les risques de sécurité potentiels associés à l'installation de dépendances non nécessaires. Le paquet openscap-utils est toujours disponible et contient d'autres outils divers. Il est conseillé aux utilisateurs nécessitant uniquement l'outil oscap de supprimer le paquet openscap-utils et d'installer le paquet openscap-scanner.

Si pris en charge par NSS, TLS 1.0 ou une de ses versions plus récentes est activé par défaut

À cause de CVE-2014-3566, SSLv3 et les versions plus anciennes du protocole sont désactivées par défaut. Directory Server accepte désormais des protocoles SSL plus sécurisés, tels que TLSv1.1 et TLSv1.2, dans la plage offerte par la bibliothèque NSS. Vous pouvez également définir la plage SSL que la console utilisera lors des communications avec des instances de Directory Server.

OpenLDAP inclut la bibliothèque pwdChecker

Cette mise à jour présente l'extension Check Password (Vérifier le mot de passe) pour OpenLDAP en incluant la bibliothèque OpenLDAP pwdChecker. L'extension est requise pour la conformité PCI dans Red Hat Enterprise Linux 6.

SSSD prend en charge l'outrepassement des sites AD automatiquement découverts

Le site DNS AD (Active Directory) sur lequel le client se connecte est découvert automatiquement par défaut. Cependant, dans certaines installations, la recherche automatique par défaut peut ne pas découvrir le site AD le plus convenable. Dans de telles situations, vous pourrez désormais définir le site DNS manuellement en utilisant le paramètre ad_site dans la section [domain/NAME] du fichier /etc/sssd/sssd.conf. Pour obtenir davantage d'informations sur ad_site, veuillez consulter le Guide de gestions des identités : https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

certmonger prend en charge SCEP

Le service certmonger a été mis à jour pour prendre en charge le protocole SCEP (« Simple Certificate Enrollment Protocol »). Pour obtenir des certificats des serveurs, vous pouvez désormais offrir une adhésion via SCEP.

Amélioration des performances des opérations de suppression de Directory Server

Auparavant, les recherches récursives de groupes imbriqués effectuées pendant une opération de suppression de groupe pouvaient mettre longtemps à se terminer si des groupes statiques de très grande taille étaient présents. Le nouvel attribut de configuration memberOfSkipNested a été ajouté pour permettre d'ignorer la vérification du groupe imbriqué, améliorant ainsi les performances des opérations de suppression de manière significative.

SSSD prend en charge les migrations d'utilisateur de WinSync à Cross-Realm Trust

Un nouveau mécanisme ID Views de configuration utilisateur a été implémenté sur Red Hat Enterprise Linux 6.7. ID Views permet la migration des utilisateurs d'Identity Management depuis une architecture basée synchronisation WinSync utilisée par Active Directory vers une infrastructure basée sur trusts inter-domaines (« Cross-Realm Trusts »). Pour obtenir davantage de détails sur ID Views et sur la procédure de migration, veuillez consulter le Guide de gestion des identités : https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD prend en charge le plugin Kerberos localauth

Cette mise à jour ajoute le plugin Kerberos localauth pour une autorisation locale. Le plugin assure que les entités de sécurité Kerberos (« Kerberos principals ») soient automatiquement mappées aux noms d'utilisateurs SSSD locaux. Avec ce plugin, il n'est plus nécessaire d'utiliser le paramètre auth_to_local dans le fichier krb5.conf. Pour obtenir davantage d'informations sur le plugin, veuillez consulter le Guide de gestion des identités : https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD prend en charge l'accès aux applications spécifiées sans droits de connexion système

L'option domains= a été ajoutée au module pam_sss, qui outrepasse l'option domains= dans le fichier /etc/sssd/sssd.conf. Cette mise à jour ajoute également l'option pam_trusted_users, qui permet à l'utilisateur d'ajouter une liste d'UID numériques ou de noms d'utilisateurs en laquelle le démon SSSD a confiance. En outre, l'option pam_public_domains et une liste de domaines accessibles aux utilisateurs qui ne sont pas de confiance ont été ajoutées. Ces nouvelles options offrent une configuration système qui permet aux utilisateurs normaux d'accéder aux applications spécifiées sans droits de connexion au système. Pour obtenir davantage d'informations, veuillez consulter le Guide de gestion des identités : https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD prend en charge les environnements utilisateur cohérents à travers AD et IdM

Le service SSSD peut lire les attributs POSIX définis sur un serveur AD (Active Directory) se trouvant dans une relation de confiance avec IdM (Identity Management). Avec cette mise à jour, l'administrateur peut transférer un attribut shell d'utilisateur personnalisé du serveur AD à un client IdM. SSSD affiche ensuite l'attribut personnalisé sur le client IdM. Cette mise à jour permet de maintenir des environnements cohérents à travers l'entreprise toute entière. Remarquez que l'attribut homedir du client affiche actuellement la valeur subdomain_homedir à partir du serveur AD. Pour obtenir davantage d'informations, veuillez consulter le Guide de gestion des identités : https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD prend en charge l'affichage de groupes pour des utilisateurs AD de confiance avant la connexion

Les utilisateurs AD (Active Directory) des domaines d'une forêt AD se trouvant dans une relation de confiance avec IdM (Identity Management) sont désormais capables de résoudre les appartenances de groupes avant de se connecter. Par conséquent, l'utilitaire id affiche les groupes de ces utilisateurs sans qu'ils n'aient à se connecter .

getcert prend en charge les requêtes de certificats sans certmonger

Demander un certificat avec l'utilitaire getcert pendant un enregistrement Kickstart du client IdM (Identity Management) ne nécessite plus que le service certmonger soit en cours d'exécution. Une précédente tentative a échoué car certmonger n'était pas en cours d'exécution. Avec cette mise à jour, getcert peut demander un certificat dans la situation décrite, à condition que le démon D-Bus ne soit pas en cours d'exécution. Remarquez que certmonger ne commencera à contrôler le certificat obtenu de cette manière qu'après un redémarrage.

SSSD prend en charge la préservation de casse des identifiants utilisateurs

SSSD prend désormais en charge les valeurs true, false, et preserve de l'option case_sensitive. Lorsque la valeur preserve est activée, l'entrée correspondra, quel que soit la casse, mais la sortie aura toujours la même casse que sur le serveur. SSSD préserve la casse pour le champ UID comme configuré.

SSSD prend en charge le refus d'accès SSH aux comptes verrouillés

Auparavant, lorsque SSSD utilisait OpenLDAP comme base de données d'authentification, les utilisateurs pouvaient s'authentifier sur le système avec une clé SSH même après le verrouillage du compte utilisateur. Le paramètre ldap_access_order accepte désormais la valeur ppolicy qui refuse l'accès SSH à un utilisateur se trouvant dans la situation décrite. Pour obtenir davantage d'informations sur l'utilisation de ppolicy, veuillez consulter la description ldap_access_order sur la page man sssd-ldap(5).

SSSD prend en charge l'utilisation des GPO sur AD

SSSD peut désormais utiliser des GPO (objets de politique de groupe) stockés sur un serveur Active Directory (AD) pour le contrôle des accès. Cette amélioration imite la fonctionnalité des clients Windows, et un unique ensemble de règles de contrôle d'accès peut désormais être utilisé pour gérer les ordinateurs Windows et Unix. Concrètement, les administrateurs Windows peuvent désormais utiliser des GPO pour contrôler l'accès aux clients Linux. Pour obtenir davantage d'informations, veuillez consulter le Guide de gestion des identités : https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html